Topic: 802.1x - Authentifizierung mit RADIUS

[PatchPanel]

802.1x  -  Authentifizierung mit RADIUS

Bin Anfänger - ich hoffe, ich habe einigermassen verständlich geschrieben und vielleicht hilft es trotzdem (oder gerade deshalb) noch jemandem.


Alles ohne Zertifikate, Gruppen, dynamische VLANs und sonstiges, ganz simpel.


Der SME-Server bringt einen laufenden FreeRADIUS-Server mit.
2 Dateien müssen ggf. bearbeitet werden und
zum Testen kann man die Dateien direkt editieren (anschl. jeweils service radiusd restart).

Code: [Select]

/etc/raddb/usersdort stehen die zu authentifizierenden Benutzer drin,
beim SME-Server braucht dort aber nichts eingetragen zu werden, sofern
die Benutzerdatenbank des SME-Servers verwendet werden soll.
Jeder, der da gültig drin steht (ausser root per default) kann mittels RADIUS auth. werden.

In meiner "users" steht nichts zusätzliches drin.
Man kann aber auch Einträge für Benutzer vornehmen, die nicht in der SME-Datenbank stehen, Format wäre:

Code: [Select]

user User-Password == "user"

In der

Code: [Select]

/etc/raddb/clients.confwerden u.a. die Geräte eingetragen, die Anfragen an den RADIUS stellen, z. B. AccessPoints (AP).

In der clients.conf steht u.a. mein AP drin (Zeilen am Ende zufügen):

Code: [Select]

#mein AP
client IP-Adresse {
secret = Passwort_was_im_AP_unter_802.1x_eingetragen_ist
shortname = Gerätename
nastype = other
}

#mein Netzwerk
client 192.168.100.0/24 {
secret = irgendeinPasswort
shortname = Cyberspace
}
Der shortname wird zum Wiedererkennen in Log-Dateien verwendet, frei wählbar.
nastype: mein Gerät ist nicht speziell in der Liste der erlaubten NAS-Typen aufgeführt, also 'other'
s.a. /etc/e-smith/templates/etc/raddb/clients.conf

Ob die Angabe (m)eines Netzwerkes zwingend ist, kann ich z. Z. nicht beantworten, ich habe es der Vollständigkeit halber eingetragen.




Der AccessPoint muß noch entsprechend konfiguriert werden, damit er Anfragen an den RADIUS stellt.
Bei meinem Funkwerk W1002 gibt es ein Menü "Remote Authentifizierung" und dort einen Punkt RADIUS.
Das Ganze ist herstellerabhängig, deshalb nur einige Parameter:

Authentifizierungstyp     802.1x
Server-IP-Adresse         SME-Server_IP-Adresse   
RADIUS-Passwort           das_unter_Secret_in_der_Clients.conf_stehende
[...]
UDP-Port                  1812
[...]

Das 'eigentliche' WLAN ebenfalls entsprechend konfigurieren (WPA-Enterprise, TKIP, AES, ACL etc.).


Jetzt zum PC/Notebook, in meinem Fall Windows XP Prof.

Verkabeltes LAN:
Bei Win XP SP3 muss man ggf. noch den zuständigen Dienst "Automatische
Konfiguration (verkabelt)" starten (Startart steht auf manuell !) damit der Reiter
"Authentifizierung" unter den Netzwerkkarteneigenschaften wieder erscheint.

WLAN:
Im Beispiel konfiguriert Windows die WLAN-Schnittstelle
(auch erfolgreich getestet: ThinkPads mit/ohne AccessConnections).

Die Eigenschaften der Drahtlosen Netzwerkverbindung aufrufen => Reiter Drahtlosnetzwerke.
Das entsprechende Netzwerk auswählen und auf Eigenschaften klicken.
Reiter Authentifizierung = Haken setzen bei "IEEE 802.1x..."
Keine Zertifikate, daher "Geschütztes EAP (PEAP)" auswählen.
Anschl. auf Eigenschaften gehen.
"Serverzertifikate überprüfen" Haken weg, weiter unten "Sicheres Kennwort (EAP-MSCHAP v2)" auswählen.
Unter Konfigurieren entscheidet man, ob die Anmeldedaten von Windows verwendet werden sollen (ggf. inkl. Domäne !) oder
man zur Benutzerdateneingabe aufgefordert werden soll (evtl. zum Testen verwenden, siehe user/user in der users-Datei, hier kann man dann auch eine Domäne weglassen).
Alles mit OK bestätigen/schliessen.

Ich hoffe, ich habe nichts vergessen...dann testen.

In der Server-Konsole des SME-Server kann man unter "Log-Dateien anzeigen" z. B. die radius/radius.log ansehen.



Wenn die Konfiguration OK ist, übernimmt man die Daten fest und trägt sie aus bekannten Gründen in ein Template ein,
bspw. für die clients.conf:

Erstellen vom Verzeichnis:

Code: [Select]

/etc/e-smith/templates-custom/etc/raddb/clients.conf
und darin eine Datei
30irgendein_Name
(die Nummerierung soll sicherstellen, dass die Angaben unterhalb den vorhandenen angefügt werden.
Es gibt im "Templates"-Pfad schon die "10localhost" und "20local".)
In diese Datei überträgt man seine Daten, unter Zufügen von einem Backslash vor der geschweiften Klammer !

Code: [Select]

client IP-Adresse \{
secret = Passwort_was_im_AP_unter_802.1x_eingetragen_ist
shortname = Gerätename
nastype = other
\}

Anschl.

Code: [Select]

expand-template /etc/raddb/clients.conf




Weitere getestete Geräte:
Funkwerk TR200bw (WLAN) und D-Link Switch DGS-1224T (LAN)


FreeRADIUS:
www.freeradius.org

Maillistenarchiv dazu:
http://www.mail-archive.com/freeradius-users@lists.freeradius.org/info.html

Viele Hinweise stehen auch im englischen Forum.

Danke an Stefan Dahler (www.neo-one.de) für entsprechenden Input.


Gruß
PatchPanel

[FraunhoferIFF]

Richtig gute sache! Glückwunsch.

Kannst du mal ,bitte, Prüfen ob pptp noch funktioniert? Das war eigentlich der haken an der Geschichte..

Ich wollte das auch schon mal testen und habe den chillispot dazu genutzt, da war ab er auch das Problem das dann keine Einwahl mehr auf den SME möglich war.

Großes Lob von mir erstmal

Marcel

[PatchPanel]

Danke 

Zu PPTP kann ich leider nichts sagen, ich verwende den SME im Nur-Server-Modus und realisiere VPN über IPSec auf meinem Gateway/Router (TR200bw).


Gruß
PatchPanel